A mai napon az ICS-CERT két, ICS rendszereket érintő hibáról szóló bejelentést tett közzé. Az elsőt a Loytec nevű németországi központú cég ipari routereiben találta Maxim Rupp, független biztonsági kutató. A hiba (akár távoli) kihasználásával a routereken hozzáférhető a felhasználók jelszavaiból képzett hash-eket tároló backup fájl. A hiba a LIP-3ECTB 6.0.1-es verzióját, valamint a LINX-100, LVIS-3E100 és LIP-ME201 típusú eszközöket érinti. A hibát kihasználó exploitról eddig még nincs hír, a gyártó pedig a weboldalán már elérhetővé tette a hibát javító friss firmware-t (innen tölthető le), így célszerű a felhasználóknak (természetesen a szükséges tesztek elvégzése után) mielőbb telepíteni a javított verziót.
Az ICS-CERT bejelentése a sérülékenységről itt található: https://ics-cert.us-cert.gov/advisories/ICSA-15-342-02
A másik hibát, egy Cross-Site Request Forgery-t, az XZERES 442SR típusú szélerőművi turbina operációs rendszerének webes interfészében találta Kam Ganeshen független kutató. Az XZERES kis teljesítményű (2,4-10kW) szélerőművi turbinákat gyárt. A hibát kihasználva ki lehet nyerni a felhasználói azonosítót a böngészőből és lehetőség nyílik az alapértelemezett felhasználói azonosító módosítására is. A hibát távolról is ki lehet használni. Ismert exploit egyelőre nem került napvilágra, annak ellenére, hogy nem nehéz működő exploitot írni az ilyen hibákra. Az XZERES elérhetővé tett ügyfelei számára egy manuálisan telepíthető patch-et.
Az ICS-CERT bejelentése a sérülékenységről itt található: https://ics-cert.us-cert.gov/advisories/ICSA-15-342-01